Wie doet wat bij bescherming persoonsgegevens?
Als het gaat om de bescherming van persoonsgegevens, worden er verschillende afkortingen gebruikt bij bepaalde functies binnen een organisatie.
Vervolgens is de vraag of iedereen wel weet wat die functies inhouden. Wie doet wat? Maar ook, wat mag wel en wat mag niet?
Afkortingenbingo, de FG en de DPO
FG, DPO, CISO, PO en CO zijn veelgehoorde afkortingen binnen organisaties daar waar het om privacy en de bescherming daarvan gaat. Ze zijn eerlijk gezegd niet meer weg te denken. Daarbij gaat het om drie verschillende functies, elk met eigen taken en verantwoordelijkheden en soms ook bevoegdheden. Maar zijn dit wel verschillende functies?
Met Functionaris voor Gegevensbescherming (FG) en Data Protection Officer (DPO) wordt hetzelfde bedoeld. Het is dezelfde functie, alleen de ene is de Nederlandse en de andere de Engelse term. Deze functie ligt verankerd in de Algemene Verordening Gegevensbescherming (AVG). Op z’n Engels: General Data Protection Regulation (GDPR). Daarmee zijn al twee afkortingen verduidelijkt.
Wat de taak, verantwoordelijkheden en bevoegdheden zijn van de FG/DPO staat in de AVG/GDPR. Dat wordt nader uitgewerkt in richtlijnen binnen de EU en uitspraken van de Autoriteit Persoonsgegevens (AP). Ook is er een handreiking in de maak voor FG’s/DPO’s in Nederland. In elk geval gaat het om een privacy professional die kennis heeft van wet- en regelgeving enerzijds en van organisatorische-, fysieke- en IT-maatregelen binnen de organisatie anderzijds. De FG/DPO is onafhankelijk van het bestuur en organisatie en heeft zelfstandig contact met de AP.
De Privacy Officer vs de Compliance Officer
De Privacy Officer (PO) is geen FG/DPO. De rol en de positie van de PO is vergelijkbaar met die van een Compliance Officer (CO). De PO zorgt ervoor dat de taken worden uitgevoerd en maatregelen zijn ingebed binnen de organisatie als het gaat om bescherming van persoonsgegevens. Maar let op, de PO is niet onafhankelijk. Hij doet dit in opdracht van het bestuur. Met andere woorden, het bestuur bepaalt het beleid, de PO biedt ondersteuning bij de uitvoering van dat beleid. Een CO doet hetzelfde, maar dan niet alleen voor wat betreft de regels van de AVG, maar om als complete organisatie te voldoen aan alle wet- en regelgeving, normen, overeenkomsten en interne afspraken.
In feite kunnen de rollen van PO en CO worden gecombineerd. Is er een statuut, waardoor de CO volledig onafhankelijk is, dan is het ook mogelijk om de rol van CO en te combineren met FG/DPO. Intrakoop biedt haar leden niet alleen FG’s, maar ook de FG-functie in combinatie met een onafhankelijke CO. Waarbij de nadruk ligt op het woordje ‘onafhankelijk’.
En als laatste.........de CISO
De Chief Information Security Officer (CISO) is verantwoordelijk voor het implementeren van het informatiebeveiligingsbeleid en het toezicht daarop. Net als de FG/DPO of CO moet hij de nodige kennis hebben van wet- en regelgeving, maar vooral van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechniek. Met dat laatste maakt hij het onderscheid ten opzichte van de FG/DPO en zeker ten opzichte van de CO. De CISO werkt onder verantwoordelijkheid van het bestuur, de FG/DPO niet want die zijn onafhankelijk, weet je nog? .
In bepaalde situaties is een FG/DPO verplicht binnen een organisatie. In overige gevallen zijn organisaties door de Autoriteit Persoonsgegevens nadrukkelijk uitgenodigd om vrijwillig een FG/DPO te benoemen. Dat kan iemand zijn op je loonlijst of een externe. Wat ook nog kan is dat je deze functionaris deelt met (een) collega-organisatie(s). In toenemende mate zien organisaties het voordeel in van het hebben van een FG/DPO. Idealiter blijven de functies van FG/DPO en PO gescheiden. Immers, de PO is nadrukkelijk intern actief en kan daarbij druk van binnenuit ervaren. Dat verdraagt zich niet met de wettelijke onafhankelijkheid van de FG/DPO. Dat geldt ook bij de rol van CISO. Immers, de CISO dient in overleg met de FG tot passende beveiligingsmaatregelen te komen, waarop vervolgens de FG toezicht houdt. Functiescheiding voorkomt dat ‘de slager zijn eigen vlees gaat keuren’.
Maar bovenal, het bestuur draagt de verantwoordelijkheid wanneer de organisatie de AVG niet naleeft. Verder is het naleven van de AVG een continu proces. De FG/DPO en de CISO zijn hier niet persoonlijk voor verantwoordelijk. Hetzelfde geldt bij ook de andere genoemde functies.